| |
警惕窥探者(Worm.Randex)病毒
发作时间:随机
病毒类型:蠕虫病毒
传播方式:网络
感染对象:网络
依赖系统: WINDOWS NT/2000/XP
病毒介绍:
该病毒于7月16日被瑞星全球反病毒监测网首次截获,它通过释放一个病毒程序建立三个系统后门来盗取用户密码、文件等重要数据,给用户带来极大的安全隐患。
该病毒运行时试图与远程的病毒服务器进行沟通,如果连接成功则释放病毒,但由于程序存在缺陷,即使无法与服务器沟通,病毒也会释放病毒,据瑞星反病毒专家分析,该病毒连接服务器的目的是为了使病毒制作者可以实时了解到该病毒的攻击状况,带有明显的目的性。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1. 病毒运行时会建立30个线程,利用网络扫描技术随机扫描网络,如果发现有连接的计算机,病毒会利用猜密码的方法试图获得用户密码,当病毒获取密码成功后,会将自身拷贝成: Admin$\\system32\\msmsgri32.exe与c$\\winnt\\system32\\msmsgri32.exe。用户可以寻找自己的计算机的上述目录,如果发现有该病毒文件,则证明已经被感染,可直接将该病毒删除。
注意:Admin$是指远程计算机管理目录,在windows NT系列系统中,它是默认共享的,而且指的是操作系统安装目录,默认是:“c:\Winnt”, c$则是指远程计算机的C盘,也是默认共享的。
2. 病毒会通过修改注册表的自启动项来进行自启动,病毒会修改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名为:“mssyslanhelper”的注册表键值。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的键值,以防止病毒自启动。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行后会释放出一个后门病毒并运行,此后门病毒运行时会试连接一个网站的54545端口,并建立三个工作线程,监听3个特定端口,等待远程的连接,此木马病毒会修改注册表的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入名为:“System Initialization”的键值。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的键值,以防止病毒自启动。
|
|
